• Regolamento Macrocategoria DEV
    Prima di aprire un topic nella Macrocategoria DEV, è bene leggerne il suo regolamento. Sei un'azienda o un hosting/provider? Qui sono anche contenute informazioni per collaborare con Sciax2 ed ottenere l'accredito nella nostra community!

Guida Shoulder Surfing

xFonzi

Utente Master
Autore del topic
13 Settembre 2010
2.252
60
Miglior risposta
0

Shoulder Surfing


Attenzione : Io e lo sciax2 forum NON ci prendiamo nessuna responsabilità di cosa farete con questa guida, è stata creata per informare gli utenti meno esperti.


CONOSCENZE NECESSARIE PER COMPRENDERE E APPLICARE LA GUIDA:

- LA PERSONALITA' DI UN HACKER, CHE E' MOLTO DIFFERENTE DA QUELLA DI UN BM.


Ed eccoci qua, in questa nuova guida dopo quella del Tailgating oggi però parliamo del Shoulder Surfing.

Dunque Shoulder vuol dire "spalle" e Surf lo conosciamo.
Fare surf a testa in giù? Wow. No, niente equilibrismi sulle onde, anche se pur sempre di uno sport si tratta: uno sport sì, ma da hacker. Dimenticate tutto ciò che pensate di sapere sugli hacker che vi leggono le password nella mente mentre le digitate sulla tastiera.Stiamo parlando della versione di X-Games, dove gli hacker estraggono dati super-segreti da un portatile utilizzando solo la forza del pensiero.Nessuna rete di amici sensitivi; Solo una perfetta combinazione di ingegno e caffeina.
Premessa: Se vi piace avere un portatile con un grosso schermo per poter vedere ciò a cui state lavorando, non leggete questo capitolo.

Vabbè, iniziamo con la guida vera.
Cos'è lo Shoulder Surfing?
Si tratta di un classico attacco che esiste da quando esistono le spalle. E' un attacco semplice, tutto ciò che bisogna fare è mettersi dietro le spalle della "vittima" per vedere cosa sta facendo.

Nei tempi antichi questa tecnica veniva usata per scoprire le cifre delle carte telefoniche prepagate, mentre la "vittima" digitava in un telefono pubblico a pagamento.
Un ladro poteva riutilizzare questo codice per fare chiamate gratuite interurbane oppure poteva venderle per un valore inferiore a quello di mercato.
Anche se al giorno d'oggi esistono metodi più semplici per catturare il codice delle carte telefoniche, l'abilità di controllare le attività alla tastiera ha ancora molti utilizzi; molti e anche molto pratici.
Facciamo l'esempio di un magazzino.
Come tutti i terminali situati in un magazzino ( compresi molti terminali accessibili ai clienti ) molti richiedono l'inserimento di un codice utente e della relativa password. A questo punto il terminale concede i privilegi d'accesso relativi alle credenziali specificate. Un manager avrà un livello d'accesso superiore rispetto ad un comune dipendente e a maggior parte di un cliente ( che non ha alcuna credenziale d'accesso ).
Per alcune transazione come la restituzione di un articolo di valore, è necessario l'intervento di un responsabile.
Quando questo responsabile farà il login' un abile osservatore ( ma anche chiunque sia in grado di utilizzare la videocamera di un telefono cellilare) può cattuare agevolmente i tasti digitati, come un keylogger però reale...
Quindi un hacker protrà poi riutilizzare queste credenziali introducendole al terminale a disposizione dei clienti per svolgere ogni sorta di attività interessante ( o pericolosa, dipende dai punti di vista).
La cattura di dati alla pulsantiera telefonica è roba da "vecchia scuola".
Quando il mondo è diventato digitale, gli esperti di shoulder surfing hanno trasferito le propie attenzioni dalle pulsantiere alle tastiere, alla ricerca non di codici di carte telefoniche, ma di password.
Non è un trucco semplice. Ogni volta che tento di farlo, mi viene in mente il film I signori della truffa. L'intero "dream-team" degli hacker era con gli occhi fissi sul filmato di un matematico che inseriva la propia password.
Riavvolgendo il filmato, sono giunti alla conclusione che la password non poteva essere individuata: c'era sempre di mezzo la "vittima".
I loughi migliori per il shoulder surfing
Vi sono tanti ottimi luoghi per praticare il shoulder surfing; alcuni però sono meglio di altri. Cominciamo dagli aereoporto.
La prima opportunita di shoulder surfing in aereoporto si verifica al check-in specialmente ai terminali self-service.
I terminali di check-in visualizzano parecchie informazioni : Nome,destinazione,posto assegnato,e codice frequentflier. I checkpoint offrono maggiori opportunità di applicare il shoulder surfing agli incaricati dei controlli mentre svolgono le propie mansioni.

Naturalmente come l'aereoporto ci sono molti altri luoghi, ma dipende dalla situazione... Vi dò un ultimo consiglio ; Osservate tutto...

Copyright 2012° - 2013° Fonzi Sciax2 - La guida può essere copiata basta citarne la fonte.
La guida è completamente mia.
Vietata la copia senza fonte.

 
Ultima modifica:
Riferimento: Shoulder Surfing

Queste sono ormai tecniche superate, oggi si usano keylogger, microcamere, RAT, ecc ecc. :emoji_slight_smile:
Comunque verso la fine ti sei mangiato 2-3 spazi e le parole sono attaccate.... (matematicoche, passwordnon...)
 
Riferimento: Shoulder Surfing

Queste sono ormai tecniche superate, oggi si usano keylogger, microcamere, RAT, ecc ecc. :emoji_slight_smile:
Comunque verso la fine ti sei mangiato 2-3 spazi e le parole sono attaccate.... (matematicoche, passwordnon...)

Modificato.
Ma questa tecnica può servire sempre utile, quando ti trovi in dei magazzini,...
Poi è come un keylogger, ma reale...
 
Ultima modifica:
Riferimento: Shoulder Surfing

Modificato.
Ma questa tecnica può servire sempre utile, quando ti trovi in dei magazzini,...
Poi è come un keylogger, ma reale...
Bhè nei magazzini in genere non ti fanno passare dietro, ti trovi davanti al bancone.
Al massimo in qualche supermercato, dove c'è il terminale tra gli scaffali, ma comunque è video sorvegliato!
 
Riferimento: Shoulder Surfing

Bhè nei magazzini in genere non ti fanno passare dietro, ti trovi davanti al bancone.
Al massimo in qualche supermercato, dove c'è il terminale tra gli scaffali, ma comunque è video sorvegliato!

Ci sono supermercati,magazzini,... dove fanno il login su un sito web, e non su un programma...
Infatti varie volte mi è capitato di vedere le commesse che digitavano i dati per il login su un sito web.
 
Riferimento: Shoulder Surfing

bella guida - testata e merita il rilievo
anche se questa tecnica è vecchia scuola sempre può tornare utile
Fonzi le tue guide sono belle continua così
 
Riferimento: Shoulder Surfing

bella guida - testata e merita il rilievo
anche se questa tecnica è vecchia scuola sempre può tornare utile
Fonzi le tue guide sono belle continua così
E' stato testato anche da me, molte volte e devo dire che funziona.
Propio per questo ho creato questa guida, infatti hai propio ragione, Old School ma funziona...
Comunque, Grazie.
 
Riferimento: Shoulder Surfing

Ci sono supermercati,magazzini,... dove fanno il login su un sito web, e non su un programma...
Infatti varie volte mi è capitato di vedere le commesse che digitavano i dati per il login su un sito web.
In quei casi in genere si tratta di server in rete lan, quindi non si loggano su Internet ma nel server aziendale.
Quale azienda è così pazza da mettere il suo database su internet? :emoji_relieved: Magari il provider prende fuoco,
gli alieni distruggono la webfarm, le formiche mangiano i cavi, ecc e poi perdi tutto? Io chiuderei... :emoji_relieved:

bella guida - testata e merita il rilievo
anche se questa tecnica è vecchia scuola sempre può tornare utile
Fonzi le tue guide sono belle continua così
L'hai testata? :| Ah si? E con quale programma? :emoji_relieved: